Настройка Policy-Based IPSec VPN

Policy-Based IPSec VPN — это тип VPN-соединения, при котором туннель создается на основе политик. Политики указывают, какой трафик и как должен быть защищен на основе IP-адресов, протоколов и портов.

В зависимости от требований к сети, уровню детализации управления трафиком и сложности конфигурации вы также можете использовать другие способы организации безопасных туннелей для соединения сетей: Site-To-Site IPSec VPN и Route-Based IPSec VPN.

В данной статье описана настройка Policy-Based IPSec VPN между оборудованием Cisco CSR1000v и виртуальным шлюзом Edge Gateway.

Общая схема взаимодействия:

Edge Gateway

В данном разделе приведены параметры настройки Policy-Based IPSec на Edge Gateway в рамках IKEv1 и IKEv2.

Пример конфигурации в рамках IKEv1
Пример конфигурации в рамках IKEv2

Параметр	Комментарий	Значение
Enable perfect forward secrecy	Дополнительная безопасность с использованием уникального ключа	On
Local Id и Local Endpoint	Идентификатор локального узла и точка входа для VPN на вашей стороне	213.108.129.202
Local Subnets	Локальные сети, которые будут доступны через VPN-туннель	192.168.101.0/24
Peer Id и Peer Endpoint	Идентификатор удаленного узла и точка входа для VPN-туннеля на стороне удаленного узла	176.118.31.163
Peer Subnets	Сети на удаленной стороне, которые будут доступны через VPN-туннель	192.168.200.0/24
Encryption Algorithm	Алгоритм шифрования, используемый для защиты данных в VPN-туннеле	AES
Authentication	Метод аутентификации, используемый для проверки подлинности сторон	PSK
Pre-Shared Key	Секретный ключ, используемый для аутентификации сторон. Обе стороны должны использовать один и тот же ключ для установки соединения	Changeme123
Diffie-Hellman Group	Тип алгоритма шифрования, используемый для обмена ключами по протоколу Диффи-Хеллмана	DH5
Digest Algorithm	Алгоритм хеширования, используемый для проверки целостности данных	SHA1
IKE Option	Настройки для фазы 1 (IKEv1 или IKEv2) установления VPN-соединения	IKEv1
IKE Responder Only	Инициатором соединения всегда является удаленная сторона	Off
Session Type	Тип сессии VPN	Policy Based Session

Параметр	Комментарий	Значение
Enable perfect forward secrecy	Дополнительная безопасность с использованием уникального ключа	On
Local Id и Local Endpoint	Идентификатор локального узла и точка входа для VPN на вашей стороне	213.108.129.202
Local Subnets	Локальные сети, которые будут доступны через VPN-туннель	192.168.101.0/24
Peer Id и Peer Endpoint	Идентификатор удаленного узла и точка входа для VPN-туннеля на стороне удаленного узла	176.118.31.163
Peer Subnets	Сети на удаленной стороне, которые будут доступны через VPN-туннель	192.168.200.0/24
Encryption Algorithm	Алгоритм шифрования, используемый для защиты данных в VPN-туннеле	AES
Authentication	Метод аутентификации, используемый для проверки подлинности сторон	PSK
Pre-Shared Key	Секретный ключ, используемый для аутентификации сторон. Обе стороны должны использовать один и тот же ключ для установки соединения	Changeme123
Diffie-Hellman Group	Тип алгоритма шифрования, используемый для обмена ключами по протоколу Диффи-Хеллмана	DH5
Digest Algorithm	Алгоритм хеширования, используемый для проверки целостности данных	SHA1
IKE Option	Настройки для фазы 1 (IKEv1 или IKEv2) установления VPN-соединения	IKEv2
IKE Responder Only	Инициатором соединения всегда является удаленная сторона	Off
Session Type	Тип сессии VPN	Policy Based Session

Cisco CSR1000v

В данном разделе приведено описание настройки Policy-Based IPSec на Cisco CSR1000v в рамках IKEv1 и IKEv2.

Конфигурация в рамках IKEv1
Конфигурация в рамках IKEv2

Настройте IKE политику:

1
crypto isakmp policy 10
2
  encryption aes
3
  group 5
4
  hash sha
5
  lifetime 28800
6
  authentication pre-share

Настройте связку PSK ключа с Peer адресом:
```
1
crypto isakmp key Changeme123 address 213.108.129.202
```

Настройте IPSec transform-set:

1
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac

Создайте IPSec access list:

1
access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255

Создайте Crypto Map и свяжите ее с политикой:

1
crypto map VTI-EDGE-CMAP 1 ipsec-isakmp
2
  set transform-set TS-EDGE-ESP-AES-SHA
3
  set pfs group5
4
  set peer 213.108.129.202
5
  match address 101

Настройте внешний интерфейс на работу с созданной Crypto Map:
```
1
interface GigabitEthernet1
2
  crypto map VTI-EDGE-CMAP
```

Запустите ping до удаленной сети с использованием локальных сетей, объявленных в настройках туннеля:

1
Router# ping 192.168.101.1 source gigabitEthernet 2
2
Type escape sequence to abort.
3
Sending 5, 100-byte ICMP Echos to 192.168.101.1, timeout is 2 seconds:
4
Packet sent with a source address of 192.168.200.1
5
.!!!!
6
Success rate is 80 percent (4/5), round-trip min/avg/max = 12/12/13 ms

Вся конфигурация, относящаяся к настройке Policy-Based IPSec на Cisco CSR1000v с использованием IKEv1, выглядит следующим образом:

1
crypto isakmp policy 10
2
 encr aes
3
 authentication pre-share
4
 group 5
5
 lifetime 28800
6
crypto isakmp key Changeme123 address 213.108.129.202
7

8
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
9
 mode tunnel
10

11
crypto map VTI-EDGE-CMAP 1 ipsec-isakmp
12
 set peer 213.108.129.202
13
 set transform-set TS-EDGE-ESP-AES-SHA
14
 set pfs group5
15
 match address 101
16

17
interface GigabitEthernet1
18
 crypto map VTI-EDGE-CMAP
19

20
access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255

Создайте ISAKMP proposal:

1
crypto ikev2 proposal VTI-EDGE-PROPOSAL
2
  encryption aes-cbc-128
3
  integrity sha1
4
  group 5

Создайте ISAKMP политику:

1
crypto ikev2 policy VTI-EDGE-POLICY
2
  proposal VTI-EDGE-PROPOSAL

Настройте связку ключей IKEv2:

1
crypto ikev2 keyring VTI-EDGE-KEYRING
2
peer EDGE
3
  address 213.108.129.202
4
  pre-shared-key local Changeme123
5
  pre-shared-key remote Changeme123

Настройте IKEv2 профиль:

1
crypto ikev2 profile VTI-EDGE-PROFILE
2
  match identity remote address 213.108.129.202 255.255.255.0
3
  identity local address 176.118.31.163
4
  authentication remote pre-share
5
  authentication local pre-share
6
  keyring local VTI-EDGE-KEYRING

Настройте IPSec Transform Set:

1
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
2
  mode tunnel

Создайте IPSec access list:

1
access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255

Создайте Crypto Map и свяжите ее с политикой:

1
crypto map VTI-EDGE-CMAP 1 ipsec-isakmp
2
  set transform-set TS-EDGE-ESP-AES-SHA
3
  set ikev2-profile VTI-EDGE-PROFILE
4
  set peer 213.108.129.202
5
  match address

Настройте внешний интерфейс на работу с созданной Crypto Map:
```
1
interface GigabitEthernet1
2
  crypto map VTI-EDGE-CMAP
```

Запустите ping до удаленной сети с использованием локальных сетей, объявленных в настройках туннеля:

1
Router# ping 192.168.101.1 source gigabitEthernet 2
2
Type escape sequence to abort.
3
Sending 5, 100-byte ICMP Echos to 192.168.101.1, timeout is 2 seconds:
4
Packet sent with a source address of 192.168.200.1
5
.!!!!
6
Success rate is 80 percent (4/5), round-trip min/avg/max = 12/12/13 ms

Вся конфигурация, относящаяся к настройке Policy-Based IPSec на Cisco CSR1000v с использованием IKEv2, выглядит следующим образом:

1
crypto ikev2 proposal VTI-EDGE-PROPOSAL
2
 encryption aes-cbc-128
3
 integrity sha1
4
 group 5
5

6
crypto ikev2 policy VTI-EDGE-POLICY
7
 proposal VTI-EDGE-PROPOSAL
8

9
crypto ikev2 keyring VTI-EDGE-KEYRING
10
 peer EDGE
11
  address 213.108.129.202
12
  pre-shared-key local Changeme123
13
  pre-shared-key remote Changeme123
14

15
crypto ikev2 profile VTI-EDGE-PROFILE
16
 match identity remote address 213.108.129.202 255.255.255.0
17
 identity local address 176.118.31.163
18
 authentication remote pre-share
19
 authentication local pre-share
20
 keyring local VTI-EDGE-KEYRING
21

22
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
23
 mode tunnel
24

25
crypto map VTI-EDGE-CMAP 1 ipsec-isakmp
26
 set peer 213.108.129.202
27
 set transform-set TS-EDGE-ESP-AES-SHA
28
 set ikev2-profile VTI-EDGE-PROFILE
29
 match address 101
30

31
interface GigabitEthernet1
32
 crypto map VTI-EDGE-CMAP
33

34
access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.101.0 0.0.0.255